Azure Active Directory portalındaki oturum açma etkinlik raporlarıSign-in activity reports in the Azure Active Directory portal

Azure Active Directory (Azure AD) içindeki raporlama mimarisi aşağıdaki bileşenlerden oluşur:The reporting architecture in Azure Active Directory (Azure AD) consists of the following components:

  • EtkinlikActivity
    • Oturum açma bilgileri – yönetilen uygulamaların kullanımı ve Kullanıcı oturum açma etkinlikleri hakkında bilgiler.Sign-ins – Information about the usage of managed applications and user sign-in activities.
    • Denetim günlükleri - Denetim günlükleri , kullanıcılar ve Grup Yönetimi, yönetilen uygulamalar ve Dizin etkinlikleri hakkında sistem etkinliği bilgilerini sağlar.Audit logs - Audit logs provide system activity information about users and group management, managed applications, and directory activities.
  • GüvenlikSecurity
    • Riskli oturum açma işlemleri- riskli oturum açma, Kullanıcı hesabının meşru sahibi olmayan birisi tarafından gerçekleştirilen oturum açma girişimine yönelik bir göstergedir.Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt by someone who isn't the legitimate owner of a user account.
    • Risk için Işaretlenen kullanıcılar - riskli bir Kullanıcı , tehlikeye girmiş olabilecek bir kullanıcı hesabı göstergesidir.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

Bu makale, oturum açma raporuna genel bir bakış sunar.This article gives you an overview of the sign-ins report.

Ön koşullarPrerequisites

Verilere kimler erişebilir?Who can access the data?

  • Güvenlik Yöneticisi, güvenlik okuyucu, genel okuyucu ve rapor okuyucu rolleri içindeki kullanıcılarUsers in the Security Administrator, Security Reader, Global Reader, and Report Reader roles
  • Genel YöneticilerGlobal Administrators
  • Tüm kullanıcılar (yönetici olmayan) kendi oturum açma etkinliklerine erişebilirlerAny user (non-admins) can access their own sign-ins

Oturum açma etkinliğine erişebilmek için hangi Azure AD lisansınızın olması gerekir?What Azure AD license do you need to access sign-in activity?

Oturum açma işlemleri raporuSign-ins report

Kullanıcı oturum açma işlemleri raporu, aşağıdaki soruların yanıtlarını sağlar:The user sign-ins report provides answers to the following questions:

  • Belirli bir kullanıcının oturum açma düzeni nedir?What is the sign-in pattern of a user?
  • Bir hafta içerisinde kaç kullanıcı oturum açtı?How many users have signed in over a week?
  • Bu açılan oturumların durumu nedir?What’s the status of these sign-ins?

Azure Portal menüsünde Azure Active Directory' i seçin veya herhangi bir sayfadan Azure Active Directory arayın ve seçin.On the Azure portal menu, select Azure Active Directory, or search for and select Azure Active Directory from any page.

Azure Active Directory'yi seçinSelect Azure Active Directory

İzlemebölümünde oturum açma işlemlerini seçerek oturumaçma işlemlerini açın.Under Monitoring, select Sign-ins to open the Sign-ins report.

Oturum açma etkinliğiSign-in activity

Bazı oturum açma kayıtlarının portalda gösterilmesi iki saate kadar sürebilir.It may take up to two hours for some sign-in records to show up in the portal.

Önemli

Oturum açma raporu yalnızca etkileşimli oturum açma işlemlerini, diğer bir deyişle kullanıcının Kullanıcı adı ve parolasını kullanarak el ile oturum açtığı oturum açma işlemlerini görüntüler.The sign-ins report only displays the interactive sign-ins, that is, sign-ins where a user manually signs in using their username and password. Hizmetten hizmete kimlik doğrulaması gibi etkileşimli olmayan oturum açma işlemleri raporda gösterilmez.Non-interactive sign-ins, such as service-to-service authentication, are not displayed in the sign-ins report.

Oturum açma günlüklerinin aşağıdakileri gösteren bir varsayılan liste görünümü vardır:A sign-ins log has a default list view that shows:

  • Oturum açma tarihiThe sign-in date
  • İlgili kullanıcıThe related user
  • Kullanıcının oturum açmış olduğu uygulamaThe application the user has signed in to
  • Oturum açma durumuThe sign-in status
  • Risk algılama durumuThe status of the risk detection
  • Çok faktörlü kimlik doğrulaması (MFA) gereksiniminin durumuThe status of the multi-factor authentication (MFA) requirement

Oturum açma etkinliğiSign-in activity

Araç çubuğunda Sütunlar’a tıklayarak liste görünümünü özelleştirebilirsiniz.You can customize the list view by clicking Columns in the toolbar.

Oturum açma etkinliğiSign-in activity

Sütunlar iletişim kutusu seçilebilir özniteliklere erişmenizi sağlar.The Columns dialog gives you access to the selectable attributes. Bir oturum açma raporunda, belirli bir oturum açma isteği için sütun olarak birden fazla değere sahip olan alanlar olamaz.In a sign-in report, you can't have fields that have more than one value for a given sign-in request as column. Bu, örneğin, kimlik doğrulama ayrıntıları, koşullu erişim verileri ve ağ konumu için geçerlidir.This is, for example, true for authentication details, conditional access data and network location.

Oturum açma etkinliğiSign-in activity

Daha ayrıntılı bilgi edinmek için liste görünümünde bir öğe seçin.Select an item in the list view to get more detailed information.

Oturum açma etkinliğiSign-in activity

Not

Müşteriler artık tüm oturum açma raporları aracılığıyla koşullu erişim ilkelerini giderebilirler.Customers can now troubleshoot Conditional Access policies through all sign-in reports. Bir oturum açma kaydı için koşullu erişim sekmesine tıkladığınızda müşteriler koşullu erişim durumunu gözden geçirebilir ve oturum açma için uygulanan ilkelerin ayrıntılarını ve her bir ilkenin sonucunu görebilir.By clicking on the Conditional Access tab for a sign-in record, customers can review the Conditional Access status and dive into the details of the policies that applied to the sign-in and the result for each policy. Daha fazla bilgi için, tüm oturum açma IŞLEMLERININ CA bilgileri hakkında sık sorulan sorularbölümüne bakın.For more information, see the Frequently asked questions about CA information in all sign-ins.

Oturum açma etkinliklerini filtrelemeFilter sign-in activities

İlk olarak, bildirilen verileri sizin için uygun bir düzeye daraltın.First, narrowing down the reported data to a level that works for you. İkinci olarak, tarih alanını kullanarak oturum açma verilerini varsayılan filtre olarak filtreleyin.Second, filter sign-ins data using date field as default filter. Azure AD size ayarlayabileceğiniz çok çeşitli ek filtreler sağlar:Azure AD provides you with a broad range of additional filters you can set:

Oturum açma etkinliğiSign-in activity

Istek kimliği -ILGILENDIĞINIZ isteğin kimliği.Request ID - The ID of the request you care about.

Kullanıcı -ilgilendiğiniz kullanıcının adı veya Kullanıcı asıl adı (UPN).User - The name or the user principal name (UPN) of the user you care about.

Uygulama -hedef uygulamanın adı.Application - The name of the target application.

Durum -ilgilendiğiniz oturum açma durumu:Status - The sign-in status you care about:

  • BaşarılıSuccess

  • HataFailure

  • MazsınızInterrupted

IP adresi -kiracınıza bağlanmak için kullanılan cihazın IP adresi.IP address - The IP address of the device used to connect to your tenant.

Konum -bağlantının başlatıldığı konum:The Location - The location the connection was initiated from:

  • ŞehirCity

  • Eyalet/IlState / Province

  • Ülke/BölgeCountry/Region

Kaynak -oturum açma için kullanılan hizmetin adı.Resource - The name of the service used for the sign-in.

Kaynak kimliği -oturum açma için kullanılan hizmetin kimliği.Resource ID - The ID of the service used for the sign-in.

İstemci uygulaması -kiracınıza bağlanmak için kullanılan istemci uygulamanın türü:Client app - The type of the client app used to connect to your tenant:

İstemci uygulama filtresi

NameName Modern kimlik doğrulamasıModern authentication DescriptionDescription
Kimliği doğrulanmış SMTPAuthenticated SMTP POP ve IMAP istemci tarafından e-posta iletileri göndermek için kullanılır.Used by POP and IMAP client's to send email messages.
Otomatik bulmaAutodiscover Outlook ve EAS istemcileri tarafından Exchange Online 'daki posta kutularını bulmak ve bağlamak için kullanılır.Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
Exchange ActiveSyncExchange ActiveSync Bu filtre, EAS protokolünün denendiği tüm oturum açma girişimlerini gösterir.This filter shows all sign-in attempts where the EAS protocol has been attempted.
TarayıcıBrowser İşaretli Web tarayıcıları kullanan kullanıcıların tüm oturum açma girişimlerini gösterirShows all sign-in attempts from users using web browsers
Exchange ActiveSyncExchange ActiveSync Exchange Online 'a bağlanmak için Exchange Acticessync kullanan kullanıcılardan istemci uygulamalarına yönelik tüm oturum açma girişimlerini gösterirShows all sign-in attempts from users with client apps using Exchange ActiceSync to connect to Exchange Online
Exchange Online PowerShellExchange Online PowerShell Exchange Online 'a uzak PowerShell ile bağlanmak için kullanılır.Used to connect to Exchange Online with remote PowerShell. Exchange Online PowerShell için temel kimlik doğrulamasını engellerseniz, bağlanmak için Exchange Online PowerShell modülünü kullanmanız gerekir.If you block basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell module to connect. Yönergeler için bkz. Multi-Factor Authentication kullanarak Exchange Online PowerShell 'e bağlanma.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
Exchange Web HizmetleriExchange Web Services Outlook, Mac için Outlook ve üçüncü taraf uygulamalar tarafından kullanılan bir programlama arabirimi.A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
IMAP4IMAP4 E-posta almak için IMAP kullanan eski bir posta istemcisi.A legacy mail client using IMAP to retrieve email.
HTTP üzerinden MAPIMAPI over HTTP Outlook 2010 ve üzeri tarafından kullanılır.Used by Outlook 2010 and later.
Mobil uygulamalar ve Masaüstü istemcileriMobile apps and desktop clients İşaretli Mobil uygulamalar ve Masaüstü istemcileri kullanan kullanıcılardan gelen tüm oturum açma girişimlerini gösterir.Shows all sign-in attempts from users using mobile apps and desktop clients.
Çevrimdışı adres defteriOffline Address Book Outlook tarafından indirilen ve kullanılan adres listesi koleksiyonlarının bir kopyası.A copy of address list collections that are downloaded and used by Outlook.
Her yerde Outlook (HTTP üzerinden RPC)Outlook Anywhere (RPC over HTTP) Outlook 2016 ve öncesi tarafından kullanılır.Used by Outlook 2016 and earlier.
Outlook hizmetiOutlook Service Windows 10 için posta ve takvim uygulaması tarafından kullanılır.Used by the Mail and Calendar app for Windows 10.
POP3POP3 POP3 kullanarak e-posta almak için eski bir posta istemcisi.A legacy mail client using POP3 to retrieve email.
Raporlama Web HizmetleriReporting Web Services Exchange Online 'daki rapor verilerini almak için kullanılır.Used to retrieve report data in Exchange Online.
Diğer istemcilerOther clients İstemci uygulamasının dahil edildiği veya bilinmediği kullanıcılardan gelen tüm oturum açma girişimlerini gösterir.Shows all sign-in attempts from users where the client app is not included or unknown.

İşletim sistemi -cihazda çalışan ve kiracınızda oturum açmayı kullanmış olan işletim sistemi.Operating system - The operating system running on the device used sign-on to your tenant.

Cihaz tarayıcısı -bağlantı bir tarayıcıdan başlatılmışsa, bu alan tarayıcı adına göre filtrelemenize olanak sağlar.Device browser - If the connection was initiated from a browser, this field enables you to filter by browser name.

BAĞıNTı kimliği -ETKINLIĞIN bağıntı kimliği.Correlation ID - The correlation ID of the activity.

Koşullu erişim -uygulanan koşullu erişim kurallarının durumuConditional access - The status of the applied conditional access rules

  • Uygulanmadı: oturum açma sırasında Kullanıcı ve uygulamaya ilke uygulanmaz.Not applied: No policy applied to the user and application during sign-in.

  • Başarılı: oturum açma sırasında Kullanıcı ve uygulamaya (diğer koşullar olması gerekmez) uygulanan bir veya daha fazla koşullu erişim ilkesi.Success: One or more conditional access policies applied to the user and application (but not necessarily the other conditions) during sign-in.

  • Hata: oturum açma, en az bir koşullu erişim ilkesinin Kullanıcı ve uygulama koşulunu karşıladı ve izin verme denetimleri karşılanmadı ya da erişimi engelle olarak ayarlı değil.Failure: The sign-in satisfied the user and application condition of at least one Conditional Access policy and grant controls are either not satisfied or set to block access.

Oturum açma etkinliklerini indirmeDownload sign-in activities

En son 250.000 kayıtlarının CSV veya JSON dosyasını oluşturmak için İndir seçeneğine tıklayın.Click the Download option to create a CSV or JSON file of the most recent 250,000 records. Azure portal dışında çalışmak istiyorsanız , oturum açma verilerini indirme ile başlayın.Start with download the sign-ins data if you want to work with it outside the Azure portal.

İndirDownload

Önemli

İndirebileceğiniz kayıt sayısı Azure Active Directory rapor bekletme ilkeleritarafından sınırlandırılır.The number of records you can download is constrained by the Azure Active Directory report retention policies.

Oturum açma verileri kısayollarıSign-ins data shortcuts

Azure AD ve Azure portal, oturum açma verilerine yönelik ek giriş noktaları sağlar:Azure AD and the Azure portal both provide you with additional entry points to sign-ins data:

  • Kimlik güvenliği korumasına genel bakışThe Identity security protection overview
  • KullanıcılarUsers
  • GruplarGroups
  • Kurumsal uygulamalarEnterprise applications

Kimlik güvenliği koruması 'nda Kullanıcı oturum açma verileriUsers sign-ins data in Identity security protection

Kimlik güvenlik koruması Genel Bakış sayfasındaki Kullanıcı oturum açma grafiğinde, oturum açma işlemlerinin haftalık toplamaları gösterilmektedir. Zaman aralığı için varsayılan değer 30 gündür.The user sign-in graph in the Identity security protection overview page shows weekly aggregations of sign-ins. The default for the time period is 30 days.

Oturum açma etkinliğiSign-in activity

Oturum açma grafiğinde bir güne tıkladığınızda, o güne ait oturum açma etkinliklerinin genel bir açıklamasını alırsınız.When you click on a day in the sign-in graph, you get an overview of the sign-in activities for this day.

Oturum açma etkinlikleri listesinin her satırında aşağıdakiler gösterilir:Each row in the sign-in activities list shows:

  • Kim oturum açtı?Who has signed in?
  • Oturum açmanın hedefi hangi uygulamaydı?What application was the target of the sign-in?
  • Oturum açma durumu nedir?What is the status of the sign-in?
  • Oturum açma MFA durumu nedir?What is the MFA status of the sign-in?

Bir öğeye tıklayarak oturum açma işlemi hakkında daha fazla bilgi alabilirsiniz:By clicking an item, you get more details about the sign-in operation:

  • Kullanıcı KimliğiUser ID
  • KullanıcıUser
  • Kullanıcı adıUsername
  • Uygulama KimliğiApplication ID
  • UygulamaApplication
  • İstemciClient
  • KonumLocation
  • IP adresiIP address
  • TarihDate
  • MFA GerekliMFA Required
  • Oturum açma durumuSign-in status

Not

IP adresleri, bir IP adresi arasında kesin bir bağlantı olmaması ve bu adrese sahip bilgisayarın fiziksel olarak bulunduğu bir şekilde verilir.IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. IP adreslerini eşleme, Mobil sağlayıcıların ve VPN 'lerin, istemci cihazının gerçekten kullanıldığı yerden çok büyük olan merkezi havuzlardan IP adresleri yayınlabildiği gerçeyle karmaşıktır.Mapping IP addresses is complicated by the fact that mobile providers and VPNs issue IP addresses from central pools that are often very far from where the client device is actually used. Şu anda Azure AD raporlarında, IP adresi fiziksel bir konuma dönüştürülürken izlemeler, kayıt defteri verileri, ters aramalar ve diğer bilgiler temel alınarak en iyi çaba vardır.Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.

Kullanıcılar sayfasında, Etkinlik bölümündeki Oturum açma öğesine tıklayarak tüm kullanıcı oturum açma işlemlerine eksiksiz bir genel bakış elde edebilirsiniz.On the Users page, you get a complete overview of all user sign-ins by clicking Sign-ins in the Activity section.

Oturum açma etkinliğiSign-in activity

Yönetilen uygulamaların kullanımıUsage of managed applications

Oturum açma bilgilerinizin uygulama odaklı bir görünümüyle aşağıdakiler gibi sorular yanıtlanabilir:With an application-centric view of your sign-in data, you can answer questions such as:

  • Uygulamalarımı kimler kullanıyor?Who is using my applications?
  • Kuruluşunuzdaki en iyi üç uygulama nelerdir?What are the top three applications in your organization?
  • En yeni Uygulamam nasıl yapıyor?How is my newest application doing?

Bu verilere yönelik giriş noktası, kuruluşunuzdaki en üst üç uygulama olur.The entry point to this data is the top three applications in your organization. Veriler, Kurumsal uygulamalaraltındaki genel bakış bölümünde yer alan son 30 gün içinde bulunur.The data is contained within the last 30 days report in the Overview section under Enterprise applications.

Oturum açma etkinliğiSign-in activity

Uygulama kullanımı grafikleri, belirli bir dönemde en iyi üç uygulama için oturum açma işlemlerinin haftalık toplamalarını toplamalar.The app-usage graphs weekly aggregations of sign-ins for your top three applications in a given time period. Zaman dönemi için varsayılan süre 30 gündür.The default for the time period is 30 days.

Oturum açma etkinliğiSign-in activity

İsterseniz belirli bir uygulamaya odaklanabilirsiniz.If you want to, you can set the focus on a specific application.

RaporlamaReporting

Uygulama kullanımı grafiğinde bir güne tıkladığınızda, oturum açma etkinliklerinin ayrıntılı bir listesini alırsınız.When you click on a day in the app usage graph, you get a detailed list of the sign-in activities.

Oturum açma işlemleri seçeneği, size tüm uygulamalarınıza ait oturum açma olaylarına genel bir bakış sunar.The Sign-ins option gives you a complete overview of all sign-in events to your applications.

Office 365 etkinlik günlükleriOffice 365 activity logs

Microsoft 365 Yönetim merkezindenOffice 365 etkinlik günlüklerini görüntüleyebilirsiniz.You can view Office 365 activity logs from the Microsoft 365 admin center. Office 365 etkinliği ve Azure AD etkinlik günlüklerinin, dizin kaynaklarının önemli bir sayısını paylaştığı noktayı göz önünde bulundurun.Consider the point that, Office 365 activity and Azure AD activity logs share a significant number of the directory resources. Yalnızca Microsoft 365 Yönetim Merkezi, Office 365 etkinlik günlüklerinin tam görünümünü sağlar.Only the Microsoft 365 admin center provides a full view of the Office 365 activity logs.

Office 365 Yönetim API 'lerinikullanarak da Office 365 etkinlik günlüklerine programlı bir şekilde erişebilirsiniz.You can also access the Office 365 activity logs programmatically by using the Office 365 Management APIs.

Sonraki adımlarNext steps